Une app StopCovid très curieuse au final

le 16/06/2020, par Dominique Filippone, Sécurité, 552 mots

Attendue au tournant, l'application gouvernementale StopCovid envoie des données d'identification de tous les contacts croisés par une personne et non seulement celles de malades du Covid-19 cotoyés à moins d'un mètre pendant 15 minutes. Dans le même temps, l'Ordre des Médecins s'inquiète à propos de la conservation des données patients atteints du Covid-19.

Une app StopCovid très curieuse au final

Lorsque l'application StopCovid avait été annoncée par le gouvernement, seules les données d'identifiants des téléphones en contact pendant quinze minutes à moins d'un mètre d'une personne malade du Covid-19 devaient être remontées. Or, d'après Gaetan Leurent, chercheur en chiffrement à l'INRIA - qui a participé à la conception de StopCovid - il apparait que les données remontées aux serveurs du gouvernement soient loin de se limiter au fameux historique de proximité promis par le ministère de la Santé et le secrétariat d'Etat au Numérique. Alors que seuls les contacts avec un risque de transmission (moins d'un mètre pendant plus de 15 mn) étaient censés être pris en compte, ce sont en fait tous les contacts croisés pendant 14 jours qui sont considérés.

« J'ai fait un test en installant StopCovid sur deux téléphones, et en l'activant une dizaine de seconde avec les deux téléphones dans deux pièces différentes (environ 5 mètres de distance, plus un mur).  Quand je me déclare ensuite comme malade, mon appli envoie bien ce contact sur le serveur, alors qu'il n'a aucun intérêt épidémiologique. (Je me déclare évidement avec un faux code de malade, et le serveur refuse mes données, mais cela permet de bien voir ce qui est envoyé). Ce comportement est aussi confirmé par les administrateurs StopCovid », prévient Gaetan Leurent.

Une solution de contournement non choisie

Contacté par Mediapart concernant ce constat gênant, un porte-parole du secrétariat d'Etat chargé du Numérique a tenté d'expliquer la situation : « tous les quarts d'heure, un nouvel identifiant est attribué à chaque appareil. Ainsi, un contact qui ne durerait que cinq minutes pourrait être la suite d'un contact de douze minutes : deux contacts que seul le serveur est capable de relier pour comprendre qu'il s'agit en réalité d'un seul, de 17 minutes, donc à risques. » Pour éviter tout souci, Gaetan Leurent pense quant à lui que des moyens simples auraient pu être mis en oeuvre pour limiter le problème : « Le téléphone pourrait filtrer les données pour ne garder les contacts courts que quand ils sont juste avant ou juste après un changement d'identifiant ».

Cette découverte arrive au plus mal : alors que le nombre de téléchargements de StopCovid est loin de crever les plafonds (1,5 million en une quinzaine de jours), jusqu'à présent seule « une poignée » de signalements de malades du Covid-19 ont été remontés d'après les dernières données gouvernementales alors que parallèlement le nombre de clusters s'est multiplié, sans heureusement toutefois faire repartir l'épidémie à ce stade. Mais le pire pourrait venir : le 15 juin, l'Ordre des médecins a alerté sur la conservation des données des patients atteints du Covid-19 par l'Etat dans les fichiers SIDEP et AmeliPro. « L'Ordre des Médecins s'inquiète du revirement du gouvernement dans le cadre de l'article 2 du projet de loi 3 077 organisant la fin de l'urgence sanitaire. Cet article 2 prévoit une durée de conservation supérieure à trois mois pour certaines données collectées aux fins de lutter contre l'épidémie de Covid‑19 sans débat parlementaire alors que la situation sanitaire est en voie d'extinction », indique l'institution dans un communiqué ».

Cisco alerte sur des failles dans IOS XE

Cisco a émis une alerte concernant une vulnérabilité critique au niveau de l'interface utilisateur web de son système d'exploitation d'interconnexion réseau IOS XE. Aucun patch n'est pour l'instant disponible...

le 17/10/2023, par Dominique Filippone, 506 mots

Emergency Responder et d'autres produits de Cisco vulnérables

Les dernières vulnérabilités corrigées par Cisco pourraient donner aux attaquants un accès root, permettre un déni de service ou une escalade des privilèges. En fin de semaine dernière, Cisco a corrigé des...

le 10/10/2023, par Lucian Constantin, IDG NS (adaptation Jean Elyan), 593 mots

IBM lance un service de connectivité multicloud basé sur le DNS

Le service NS1 Connect proposé par IBM peut prendre des décisions dynamiques sur l'endroit où envoyer des requêtes Internet pour assurer les meilleures connexions dans des environnements réseau complexes et...

le 27/09/2023, par Michael Cooney, IDG NS (adapté par Jean Elyan), 989 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...